Encontrei este post no Ruby on Rails Security Blog.

O autor aqui cita três métodos que usamos constatemente e como eles representam uma falha de segurança no Rails.

Veja estes dois exemplos abaixo:

[source:ruby]
strip_tags(“sdfasdf<script>alert(‘hello’)</script>”)
[/source]

O código acima vai retornar: “sdfasdf<script>alert(‘hello’)</script>”

[source:ruby]
strip_links(“Test“)
[/source]

E este código retorna “<a xhref=’http://www.attacker.com/’>Test</a>”

Segundo o autor do post, este problema já foi reportado mas os métodos não devem ser alterados até a versão 2.0 do Rails. Por isto, cuidado ao usá-los crianças…